מחקר סופוס מזהיר – תוקפים משתמשים בחולשת האבטחה Log4Shell כדי ליצור דלתות אחוריות בשרתים וירטואליים

סופוס מצאה שלוש פרצות מסוג דלת אחורית וארבעה תהליכי כריית מטבעות קריפטוגרפיים שפעלו בהיחבא בשרתי VMware Horizon שלא עודכנו בתיקוני אבטחה

סופוס, מובילה עולמית באבטחת סייבר, פרסמה מחקר על השימוש שעושים תוקפים בפרצת האבטחה Log4Shell כדי להחדיר נוזקות מסוג "דלת אחורית" ו-Profiling Scripts לשרתי VMware Horizon שלא עודכנו בתיקוני אבטחה, ובכך הסדירו גישה מתמשכת לשרתים אלו ופתחו פתח למתקפות כופר עתידיות.

המחקר שכותרתו "Horde of miner bots and backdoors leveraged Log4J to attack VMware Horizon servers – Sophos News" מפרט את הכלים והטכניקות המשמשים לפריצת השרתים, להתקנת שלוש דלתות אחוריות ולהחדרת ארבע תוכנות כרייה שונות.

Log4Shell היא פרצת אבטחה המאפשר הרצת קוד מרחוק ברכיב רישום היומן מבוסס ה-Java של שרת Apache, Log4j, שמוטמע במאות מוצרי תוכנה. הפרצה דווחה ותוקנה בדצמבר 2021.

"יישומים בשימוש נרחב כמו VMware Horizon שחשופים לאינטרנט ודורשים עדכונים ידניים הם פגיעים במיוחד לניצול בקנה מידה נרחב", אמר שון גלאגר, חוקר אבטחה בכיר בסופוס. "מערכי הזיהוי של סופוס חשפו גלי מתקפות על שרתי Horizon החל מינואר, שהחדירו מגוון של פרצות "דלת אחורית" ותוכנות כרייה לשרתים שלא עודכנו, כמו גם סקריפטים המאפשרים איסוף מידע אודות השרת המותקף. סופוס סבורה שחלק מפרצות הדלת האחורית הוחדרו באמצעות ספקי גישה ראשונית המנסים להבטיח גישה מרוחקת מתמשכת ליעדים משמעותיים שאותם הם יכולים למכור לתוקפים אחרים, כגון מפעילי תוכנות כופר".

מטעני התקיפה המרובים שסופוס זיהתה אשר עשו שימוש בפרצת Log4Shell כדי לתקוף שרתי Horizon פגיעים כוללים:

• שני כלים לגיטימיים לניטור וניהול מרחוק, Atera agent ו-Splashtop Streamer, שנועדו ככל הנראה לשימוש זדוני כדלתות אחוריות
• שירות הדלת האחורית הזדוני Silver
• תוכנות כריית המטבעות הקריפטוגרפיים z0Miner, JavaX miner, Jin ו-Mimu
• מספר מעטפות גישה מרחוק (Reverse shell) מבוססות PowerShell שאוספות מידע על המכשיר והגיבויים המוגדרים עבורו

בניתוח שביצעה סופוס התגלה כי נוזקת Sliver מוחדרת לעתים יחד עם Profiling Scripts של Atera ו-PowerShell ומשמשת כדי להחדיר את הווריאנטים Jin ו-Mimu של רשת הבוטים לכריית מטבעות Xmrig Monero.

לדברי סופוס, התוקפים משתמשים במספר גישות שונות כדי להדביק את מטרותיהם. בעוד שחלק מההתקפות הקודמות השתמשו בתוכנת Cobalt Strike כדי להריץ את מטעני כריית המטבעות, גל ההתקפות הגדול ביותר, שהחל באמצע ינואר 2022, הריץ את הסקריפט המשמש להתקנת תוכנת הכרייה ישירות מתוך רכיב ה-Apache Tomcat הרץ על שרת VMware Horizon. גל ההתקפות הזה עודנו בעיצומו.

"מהממצאים של סופוס עולה כי תוקפים רבים משתמשים באמצעי פריצה אלו, ולכן הצעד ההגנתי החשוב ביותר הוא התקנת הגרסה המתוקנת של Log4j בכל השרתים והיישומים שבהם נעשה שימוש ברכיב זה. בזאת נכללות גרסאות מתוקנות של VMware Horizon, בארגונים שמשתמשים ביישום זה ברשת שלהם", אמר גלאגר. "Log4j מותקן במאות מוצרי תוכנה וארגונים רבים עשויים שלא להיות מודעים לפרצת האבטחה שאורבת בתוך התשתיות שלהם, במיוחד בתוכנות מסחריות, בתוכנות קוד פתוח או בתוכנות מותאמות אישית שאין להן תמיכת אבטחה קבועה. ובעוד שתיקון זה הוא חיוני, ייתכן שהוא לא יספיק במצב שבו התוקפים כבר הצליחו להשיג גישת Web shell או להתקין דלת אחורית ברשת הארגונית. הגנה לעומק ותגובה לכל גילוי של תוכנות כרייה ופעילות חריגה אחרת הן היבטים קריטיים בהתגוננות מפני מתקפות מסוג זה."

למידע נוסף מומלץ לקרוא את הסקירה הטכנית "Horde of Miner Bots and Backdoors Meveraged Log4j to Attack VMware Horizon Servers" ב-Sophos News.

מידע נוסף על Log4j  אפשר למצוא במאמרים הבאים –   Log4Shell Hell – Anatomy of an Exploit Outbreak, Log4Shell Response and Mitigation Recommendations, Inside the Code: How the Log4Shell Exploit Works,  ו- Log4Shell: No Mass Abuse, But No Respite, What Happened?